Патч вторник: Microsoft исправляет 57 недостатков безопасности, включая активные нулевые дни

Microsoft только что сбросила обновление во вторник в марте 2025 года, которое включает в себя 57 исправлений, хотя и ближе к 70 с участием сторонних уязвимостей. В обновлении рассматриваются некоторые критические проблемы безопасности, которые требуют немедленного внимания, включая следующие шесть уязвимостей нулевого дня, которые хакеры активно эксплуатируют.

CVE-2025-26633: дыра в области безопасности в консоли управления Microsoft, которая позволяет хакерам обходить нормальную защиту. Как правило, они заставляют вас открыть специально разработанный файл или веб -сайт по электронной почте или приложениям для обмена сообщениями. Оценка важно, с оценкой опасности 7,8 из 10. «В сценарии электронной почты или мгновенной атаки сообщений злоумышленник может отправить целевого пользователя специально созданный файл, который предназначен для использования уязвимости», - объясняет Microsoft. «В любом случае злоумышленник не сможет заставить пользователя просматривать контент, контролируемый злоумышленником. Вместо этого злоумышленник должен был бы убедить пользователя принять меры. Например, злоумышленник может побудить пользователя либо щелкнуть ссылку, которая направляет пользователя на сайт злоумышленника, либо отправить злонамеренное вложение ».

CVE-2025-24993: ошибка памяти в Windows, которая позволяет хакерам запускать любой код, который они хотят на вашем компьютере. Несмотря на то, что Microsoft называет это «удаленным», кто -то или что -то должно быть физически на вашем компьютере, чтобы использовать его. Оценка опасности: 7,8. «Злоумышленник может обмануть локального пользователя в уязвимой системе, чтобы установить специально созданный VHD, который затем запустил бы уязвимость», - объясняет Microsoft.

CVE-2025-24991: недостаток Windows, который позволяет злоумышленникам смотреть на небольшие кусочки памяти вашего компьютера. Им нужно будет обмануть вас в открытии специального вида файла изображения диска. Умеренная опасность на 5,5.

CVE-2025-24985: математическая ошибка в файловой системе Windows, которая позволяет злоумышленникам запускать вредоносный код на вашем компьютере. Им нужно сначала открыть вредный файл изображений с вредным диском. Оценка опасности: 7,8.

CVE-2025-24984: ошибка Windows, которая случайно записывает конфиденциальную информацию для журнала файлов. Хакеры нуждались в физическом доступе к вашему компьютеру, чтобы подключить вредоносный USB -диск. Более низкий риск при 4,6.

CVE-2025-24983: недостаток Windows, который позволяет кому-то получить доступ к вашему компьютеру, усилите полное управление системой, используя уязвимость времени. Оценка опасности: 7,0.

Существует седьмая уязвимость - ошибка удаленного выполнения кода в доступе к Windows - которая была обнародована, но, похоже, еще не активно эксплуатируется.

Верно в форме, Microsoft сохранила традиции и не делилась ни одной цифровой отпечатки пальцев, которые могли бы помочь командам безопасности определить, если их пострадают.

Дополнительные уязвимости безопасности, в том числе в удаленном настольном клиенте

Microsoft также выделила несколько неприятных ошибок, которые могли бы позволить злоумышленникам запускать вредоносный код по сетям. Самое страшное - это то, что они могут сделать это без необходимости взаимодействия с пользователем.

Одним из выдающихся является CVE-2025-266645, уязвимость прохождения пути у удаленного настольного клиента. Это глупо, потому что, если вы подключитесь к скомпрометированному серверу удаленного рабочего стола с помощью уязвимого клиента, злоумышленник может немедленно выполнить код на вашем компьютере. Катастрофа.

Microsoft настоятельно советовала администраторам Windows определять приоритет уязвимости для исправления критических удаленных уязвимостей, влияющих на подсистему Windows для Linux, Server Windows DNS, службы удаленного рабочего стола и Microsoft Office.

Загрузите нашу настраиваемую политику управления исправлениями, написанную Скоттом Маттесоном для TechRepublic Premium, которая предоставляет руководящие принципы для соответствующего применения исправлений в организации.

Эта статья была написана писателем TechnologyAdvice Alliser Allison Francis.